Команда фахівців Google в області безпеки виявила безліч вразливостей в фреймворку Image I / O, який є частиною iOS, Macos.
Фахівці з команди аналітиків у сфері безпеки Project Zero, найняті Google, використовували метод під назвою "фаззінга", Щоб перевірити, как Image I/O (фреймворк, встроенный во все операционные системы Apple, как iOS, Macos, tvOS и watchOS) обрабатывает искаженные файлы изображений.
В результате им удалось обнаружить 14 уязвимостей, шесть из которых затрагивают непосредственно Image I/O. Еще восемь проблем связаны с OpenEXR — библиотекой с открытым исходным кодом для анализа файлов изображений EXR, которая поставляется вместе с Image I/O.
Project Zero отметили, что злоумышленники могут эксплуатировать эти проблемы с помощью мессенджеров, просто отправив жертве специальный файл. Эти баги могут быть использованы злоумышленниками, наприклад, для удаленного выполнения кода без какого-либо участия пользователя.
Специалисты уверяют, что эти баги не позволяют получить контроль над уязвимым устройством, однако этот вопрос не был детально изучен ими.
Также эксперты отметили, что в настоящее время часть обнаруженных проблем уже исправлены. Так шесть багов в коде Image I/O получили исправления в январе и апреле, а проблемы в OpenEXR были устранены в феврале.
Project Zero выразили надежду, что их анализ послужит отправной точкой для дальнейшего изучения компонентов операционных систем от Apple, которые используются для обработки изображений и мультимедиа.
Ранее в iPhone и iPad обнаружен баг, который позволяет злоумышленнику вывести из строя гаджет, отправив на него “текстовую бомбу”.